Hugging Face и ClawHub компрометированы: вредонос в сотнях моделей ИИ
В Hugging Face обнаружены сотни вредоносных моделей ИИ. Они скрыты среди более чем миллиона легальных моделей, используемых ИИ-компаниями. Вредонос выполняет пр
Хранилища машинных моделей Hugging Face и ClawHub систематически компрометированы. В них найдены сотни вредоносных моделей, которые выполняют произвольный код на машинах разработчиков.
Что произошло
Hugging Face — центральный репозиторий, где хранятся более миллиона ML-моделей, которые используют практически все ИИ-компании планеты. Обнаружено, что среди них находятся сотни вредоносных моделей, маскирующихся под легальные. Это первая крупная supply chain атака на ИИ-инфраструктуру. Вредоносные модели всплыли как результат неправильно настроенной безопасности. Hugging Face позволяет любому пользователю загружать модели, и этим воспользовались злоумышленники. ClawHub, хранилище агентских навыков, тоже скомпрометирован через загруженные пользователями модули.
Масштаб атаки *
Сотни вредоносных моделей в Hugging Face Скрыты среди более чем миллиона легальных моделей Затрагивают API и приватные проекты разработчиков ClawHub и другие хранилища также компрометированы Первая систематическая атака на ML-инфраструктуру ## Как работает вредонос Вредонос попадает в модель на этапе её загрузки. Когда разработчик скачивает модель через Hugging Face SDK или импортирует её в код, происходит инициализация. Именно на этом этапе выполняется вредоносный код. Что он может делать: выполнять произвольный код на машине, красть данные из рабочей среды разработчика, устанавливать бэкдоры для удалённого доступа, компрометировать production-системы при деплое заражённой модели, распространяться на зависимые проекты через цепь зависимостей.
Почему это опасно
Разработчики ИИ относятся к Hugging Face как к эквиваленту npm или PyPI — выкачивают модели как зависимости, не проверяя код. Никто не ревьюит содержимое ML-моделей вручную, потому что это невозможно в масштабе. Вредоносная модель может дремать месяцами в боевой системе, ждущая специфического условия, или работать скрытно, собирая данные исподволь. Это классическая supply chain атака, но в ИИ-контексте она ещё опаснее, потому что заражена не библиотека, а готовый к запуску код с полными правами.
Что это значит Инфраструктура ИИ-разработки стала серьёзной мишенью.
Индустрии нужны срочные меры: механизмы проверки кода моделей, изоляция выполнения при загрузке, более строгие требования к загрузке в центральные репозитории. Это станет необходимым требованием для работы с открытыми моделями.